다크웹 모니터링으로 공격 정황 파악…선제 대응으로 피해 예방
[데이터넷] 보이지 않는 것은 보호할 수 없지만, 복잡한 비즈니스 환경에서는 운용중인 자산을 모두 보지 못한다. 다종다양한 BYOD, IoT 기기, 수시로 변하는 컨테이너, 애플리케이션 등으로 인해 자산 정보에 대한 정합성을 맞추기가 어렵다. 비즈니스와 연결된 모든 자산과 상태, 취약점 여부, 컴플라이언스, 공격에 이용되는 정황 정보 등을 자동으로 식별하고 조치하는 새로운 자산관리 솔루션이 필요하다.<편집자>
ASM은 단독 솔루션으로 공급되는 경우도 있지만, 사이버 위협 인텔리전스(CTI)의 일부로 공급되는 것이 일반적인 추세다. CTI 플랫폼에 통합 제공되는 ASM은 다른 공격 정보와 함께 연계 분석될 수 있기 때문에 단독 솔루션보다 포괄적이며 실행 가능한 정보를 제공할 수 있다.
한규돈 레코디드퓨처코리아 지사장은 “ASM 단독 솔루션은 저렴한 비용으로 쉽게 사용할 수 있다는 장점이 있지만, 외부에서 식별 가능한 정보만을 제공하기 때문에 기존 취약점 스캐너와 큰 차이가 없다고 여겨질 수 있다”며 “CTI에 통합되는 ASM은 다른 위협 정보와 함께 관리할 수 있기 때문에 정확하게 위협을 식별하고 관리할 수 있다”고 설명했다.
레코디드퓨처는 올해 초 ASM 전문벤더 시큐리티 트레일(Secrity Trails)을 인수하고 인텔리전스 플랫폼에 통합시켜 전체 CTI 플랫폼의 커버리지를 한층 넓혔다. 레코디드퓨처는 ASM과 ▲브랜드 인텔리전스 ▲SecOps 인텔리전스 ▲위협 인텔리전스 ▲취약점 인텔리전스 ▲타사 인텔리전스 ▲지정학정 정보 ▲결제사기 인텔리전스 ▲아이덴티티 인텔리전스 등의 솔루션을 제공한다.
이 플랫폼은 지속적으로 데이터를 수집하고, 대규모 그래프 분석과 글로벌 리서치 팀의 분석 통찰력을 고유 하게 결합해 공격자와 인프라, 공격 대상 조직 전반에 걸친 정확한 정보를 제공한다. 국내에서도 공공기관과 이커머스, 게임사, 그룹사 등에 공급됐으며, 통신사 등에서도 많은 관심을 보이고 있다.
ASM을 국내에 처음 알린 기업은 CTI 기업 그룹아이비로, 여러 CTI 모듈 중 ASM이 가장 쉽게 고객에게 다 가갈 수 있는 기술이라고 판단하고 적극적으로 영업을 전개해왔다. 그룹아이비는 ASM과 위협 인텔리전스, 사기방어, 디지털 리스크 보호, 매니지드 XDR, 비즈니스 이메일 침해 대응 솔루션을 플랫폼을 통해 제공한다. 감사와 컨설팅, 교육과 훈련, 디지털 포렌식과 사고 대응, 하이테크 범죄 수사 등의 기능도 제공한다.
그룹아이비 플랫폼은 조직이 직면한 위험을 식별해 보안을 강화하며, 위협 행위자의 공격을 차단하는데 필요한 정확한 통찰력을 제공한다. 지능형 공격과 기 술을 탐지하기 위해 위협 행위자를 상시 모니터링하고, 통합 위협 플랫폼으로 공격이 발생하거나 사기가 발생하고 브랜드가 손상되기 전에 조기 경고 신호를 빠르고 정확하게 식별한다.
매니지드 서비스로 CTI 사용사례 확장
우리나라에서 CTI는 다크웹 인텔리전스를 시작으로 서서히 확장되고 있으며, 기존 보안 솔루션에서 수집하는 정보를 정확하게 이해하고 가시화하기 위한 도구로 이해되고 있다.
다크웹 인텔리전스는 다크웹 정보를 모니터링 해 특정 기업·기관의 내부정보나 계정·고객정보가 매매되는지 확인하고 해당 기업에게 알리는 것뿐 아니라 공격모의 시도, 다크웹에서 공유되는 성공사례 분석, 공격 도구와 전략 분석 등으로 공격자 동향을 파악하고 미리 대응할 수 있게 한다.
다크웹 인텔리전스는 오랜 기간 다크웹에서 공격자처럼 활동하면서 동향을 살피는 것이 관건이기 때문에 공격자와 생태계에 대한 고도의 전문성과 정보력이 필수다. 그래서 다크웹 인텔리전스를 제공하는 기업들은 사이버 정보 및 수사와 관련된 전문가를 고용하고, 수집한 정보를 이용해 공격자 생태계의 향후 동향을 예측하는 등의 전문가 서비스를 제공한다.
다크웹 인텔리전스를 경험한 고객들이 점점 더 많은 인텔리전스를 요구하면서 레코디드퓨처와 같은 CTI 플랫폼을 찾게 됐는데, 국내 정보기관·공공기관은 물 론이고 금융·대기업에서도 SOC·CERT의 탐지·대응을 개선하기 위해 CTI를 사용하는 사례가 늘고 있다.
한규돈 지사장은 “국내 대표적인 이커머스 기업이 경쟁사 솔루션에서 최근 레코디드퓨처 제품으로 바꿨다. 경쟁사 제품은 가시성이 좋지만 전문성이 높지 않 고, 새로운 위협에 대한 정보가 부족하다는 한계가 있었다. 레코디드퓨처는 높은 전문성과 광범위한 위 협 정보를 종합적으로 제공할 수 있어 보안 전략 수 립과 운영·대응을 크게 개선할 수 있게 했다”고 설명했다.
한편 레코디드퓨처는 매니지드 서비스도 국내에 공 급할 예정으로, 매니지드 서비스 사업자와 파트너 계 약을 맺고 내년부터 적극적인 영업을 개시할 계획이다. 이를 위해 역량 있는 파트너를 모집하고 있다.
한규돈 지사장은 “CTI를 만병통치약으로 여기는 고객이 있는데, CTI는 고객이 위협을 식별하고 대응하는데 참고할 수 있는 정보를 제공하는 서비스이지, 위협을 직접 차단하는 솔루션은 아니다. CTI를 이용해서 어떻게 리스크를 줄일 수 있을지 깊이 고민해야 한다”며 “또한 모든 위협을 가시화할 수 있다고 주장하는 CTI 벤더들의 마케팅 메시지에 속지 않도록 주의하는 것도 필요하다. CTI에서 제 공하는 정보의 수준이나 정확도, 신규 위협과 관련된 정보 등이 글로벌 수준에 미치지 못하는 경우도 있으므로 선진사례를 두루 살펴보고 결정하는 것이 좋다” 고 말했다.
